Katalog CVE

CVE-2026-54326

NiskieCVSS 2.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu Pi (wersje od 0.74.0 do 0.78.1) pozwala na wstrzyknięcie niebezpiecznych adresów URL w eksportowanych plikach HTML. Mechanizm filtrowania schematów URL nie radzi sobie z kontrolnymi znakami C0, które są normalizowane przez przeglądarki przed nawigacją, co umożliwia ominięcie zabezpieczeń.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwych linków lub obrazów w statycznych plikach HTML generowanych przez Pi, co może prowadzić do kradzieży danych, przekierowań na złośliwe strony lub wykonania nieautoryzowanych działań w kontekście przeglądarki ofiary.

Rekomendacja

Należy niezwłocznie zaktualizować Pi do wersji 0.78.1 lub nowszej, która zawiera poprawkę eliminującą podatność. W międzyczasie zaleca się unikanie otwierania wygenerowanych plików HTML w przeglądarkach bez uprzedniej weryfikacji.

Oryginalny opis (angielski, źródło NVD)

Pi is a minimal terminal coding harness. From 0.74.0 until 0.78.1, Pi HTML exports render session Markdown into a static HTML file. It did not consistently reject unsafe Markdown link and image URL schemes. In versions with scheme filtering, C0 control characters in the URL scheme could bypass the check because browsers normalize those characters before navigation. This vulnerability is fixed in 0.78.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS